從算法到博弈:永續合約標記價格的結構性風險

2025年3月,一個交易量不足200萬美元的小衆代幣JELLY,在Hyperliquid平台引發了一場千萬美元級的清算風暴。這並非傳統意義上的黑客攻擊,而是對系統規則的"合規性攻擊"。攻擊者巧妙利用了平台公開的計算邏輯和風控機制,將本應作爲市場"中立與安全"之錨的標記價格,變成了一件具有殺傷力的武器。

這起事件揭示了山寨幣永續合約市場中標記價格機制的系統性風險,暴露了當前主流清算邏輯在極端情況下對用戶資金保護的內在不對稱性。本文將從理論和實踐兩個層面,深入分析這一事件背後的原理及其對行業的啓示。

永續合約的核心悖論:虛假安全感帶來的清算機制傾斜

標記價格:一場誤以爲安全的共識遊戲

標記價格的計算通常採用三值中位機制,圍繞"指數價格"構建。指數價格通過加權平均多個主流現貨平台的價格得出,意在提供跨平台的公允參考價。

典型的標記價格計算方式爲:

Mark Price = Median (Price1, Price2, Last Traded Price)

其中:

• Price1 = 指數價格 × (1 + 資金費率基差)
• Price2 = 指數價格 + 移動平均基差
• Last Traded Price = 平台最新成交價

這種設計的安全性建立在一個關鍵假設之上:輸入的數據源數量充足、分布合理、流動性強且難以被協同操縱。然而,在大多數山寨幣的現貨市場中,這一假設並不成立。攻擊者只需控制少數低流動性平台的價格,就能"污染"指數價格,將惡意數據通過公式合法注入標記價格。

清算引擎:平台的盾,也是刃

清算引擎以標記價格爲核心觸發標準。即便當前市場成交價尚未觸及清算線,只要標記價格達到,清算就會立即觸發。更值得警惕的是"強制平倉"機制。許多交易所採用保守的清算參數,觸發強平後即便平倉價格優於實際虧損歸零價格,平台通常也不會返還這部分"強平盈餘"。

這種機制在流動性低的資產中尤爲常見。平台爲了自身風險對沖,會將清算線調得更保守,更容易讓倉位在價格波動中被"提前平掉"。清算引擎本應是中性的風控工具,但在收益歸屬、參數選擇、觸發邏輯上,卻具備了平台利潤化的傾向。

標記價格的失效導致清算引擎的失真

在流動性充裕的主流資產中,標記價格的理論或許成立。但對於流動性稀薄、交易場所集中的山寨幣,其有效性面臨嚴峻挑戰。

• 大數據集中的有效性:假設價格指數包含10個獨立、高流動性的數據源,中位數算法能輕易識別並忽略極端報價。

• 小數據集中的脆弱性:以典型山寨幣場景爲例。

  • 三數據源情景:如果指數僅包含三個交易所(A, B, C)的現貨價格。惡意行爲者同時操縱A和B的價格,無論C的價格多真實,中位數都將被操縱價格決定。
  • 雙數據源情景:如果指數只包含兩個數據源,中位數等同於平均值,完全喪失了剔除異常值的能力。

對大多數山寨幣而言,其交易深度和上市交易所數量有限,容易落入"小數據集"陷阱。交易所聲稱的"多源指數"帶來的安全感,在山寨幣世界裏往往只是幻覺。

預言機困境:當現貨流動性枯竭成爲武器

預言機承擔着鏈上與鏈下之間信息傳輸的橋梁角色。然而,這座橋梁在流動性匱乏時異常脆弱。

預言機:連接鏈上與鏈下的脆弱橋梁

預言機是將鏈下數據安全傳輸至鏈上的中間件系統。一個"誠實"的預言機,並不意味着它報告的是"合理"的價格。這一特性揭示了兩類攻擊路徑:

• 預言機攻擊:通過技術手段篡改預言機數據源或協議。
• 市場操縱:通過操作外部市場,刻意拉動或壓低價格,預言機如實記錄並上報這個"被操控"的市場價格。

後者正是Mango Markets和Jelly-My-Jelly事件的實質:預言機的"觀測窗口"被污染。

攻擊的支點:當流動性缺陷成爲武器

這類攻擊核心在於利用目標資產在現貨市場上的流動性劣勢。對交易稀薄的資產,小額訂單就可能引起價格劇烈波動。

2022年10月對Mango Markets的攻擊堪稱典範。攻擊者利用MNGO代幣的極度流動性枯竭(日交易額不足10萬美元),通過投入約400萬美元買入,成功將MNGO價格在極短時間內拉升超2300%。這一"異常價格"被預言機完整記錄並喂送給鏈上協議,致使其借款額度暴漲,最終"合法地"掏空平台全部資產(約1.16億美元)。

攻擊路徑詳解:

1. 目標選擇:篩選在主流衍生品平台上線永續合約、預言機價格來自已知低流動性現貨交易所、日交易量低的代幣。

2. 資本籌集:多數攻擊者通過"閃電貸"獲取臨時巨額資金。

3. 現貨市場閃擊:在極短時間內,在所有被預言機監控的交易所同步下達大量買單。

4. 預言機污染:預言機從被操縱的交易所中讀取價格,得出的指數價格被嚴重污染。

5. 標記價格感染:受污染的指數價格進入衍生品平台,影響標記價格計算。清算引擎誤判風險區間,觸發大規模"清算"。

攻擊者可利用平台公開的預言機機制、數據來源權重、價格刷新頻率等信息,精準計算在每個流動性最弱的交易所投入多少資金,即可最大程度扭曲最終的加權指數。

Hyperliquid的結構性風險剖析

Jelly-My-Jelly事件能在Hyperliquid上發生並造成嚴重後果,根本原因在於該平台特有的流動性架構與清算機制。這些旨在提升用戶體驗與資本效率的設計,爲攻擊者提供了理想的"獵殺場"。

HLP金庫:民主化的做市商與清算對手盤

Hyperliquid的HLP金庫是一個由協議統一管理、肩負雙重職能的資金池:

1. 作爲平台的主動做市商,允許社區用戶參與自動化做市策略。
2. 承擔平台的"清算止損後盾",作爲最後的清算對手方。

這種設計使HLP成爲可被確定性利用的、完全沒有自主判斷能力的接盤實體。攻擊者可以預測其"毒性倉位"一旦觸發清算,將由誰接盤 - 一個執行智能合約邏輯、百分百按規則行事的自動化系統。

清算機制的結構性缺陷

Jelly-My-Jelly事件暴露了Hyperliquid在極端市場條件下的致命漏洞:

• HLP金庫內部資金架構缺乏隔離機制,清算儲備池與其他策略池共享抵押品。
• 當清算儲備池陷入深度虧損時,由於可調用整個HLP金庫的抵押資產,系統判定整體健康度良好,未觸發ADL(自動減倉)機制。
• 這種共享抵押機制繞過了ADL這一系統性風險防線,使本應由市場整體承擔的損失集中爆發於HLP金庫。

Jelly-My-Jelly攻擊的完整復盤

階段一:布局 - 價值400萬美元的空頭陷阱

• 攻擊者在事發前十天通過小規模交易測試策略。
• 3月26日,JELLY價格在0.0095美元附近時,攻擊者開始實施。
• 通過自我交易構建約400萬美元的空頭頭寸,輔以300萬美元的多頭對敲倉位。
• 目的是增加未平倉合約OI,避免引發市場異常波動。

階段二:突襲 - 現貨市場的閃電戰

• JELLY總市值僅約1500萬美元,1%市場深度僅7.2萬美元。
• 攻擊者在多個交易所同步發起買入攻勢。
• JELLY價格從0.008美元起漲,不到一小時飆升超500%,觸及0.0517美元。
• Bybit單日成交額突破1.5億美元,創歷史新高。

階段三:引爆 - 預言機污染與清算瀑布

• 現貨價格劇烈拉升迅速傳導至Hyperliquid的標記價格系統。
• 標記價格跳漲引爆攻擊者先前部署的400萬美元空頭倉位。
• HLP金庫作爲清算對手方無條件接盤,清算系統未觸發ADL機制分攤風險。
• 攻擊者成功將爆倉損失"轉嫁社會化",讓HLP流動性提供者埋單。

階段四:餘波 - 緊急下架與市場反思

• Binance與OKX幾乎同步上線JELLY永續合約,被解讀爲對Hyperliquid的"趁火打劫"。
• Hyperliquid緊急投票通過應對措施:永久下架JELLY永續合約;對非攻擊地址用戶全額補償。
• HLP金庫未實現虧損一度高達1200萬美元,官方最終報告24小時內總損失控制在70萬美元。

結語:永續合約的"標記幻象"與防御命題

Jelly-My-Jelly事件的攻擊者利用了標記價格生成機制的數學結構性缺陷:小數據源、中位數聚合、流動性碎片化,並結合市場清算機制來運作。這種攻擊不需要復雜技術,只需對協議邏輯的深刻理解。

標記價格操控的根本問題在於:

• 預言機數據的高度相關性
• 聚合算法對異常值的容忍性
• 清算系統對標記價格的"盲信"

在算法與博弈之間,建立真正的"抗操縱性"是DeFi領域的重要課題。Jelly-My-Jelly事件警示我們:在沒有深入理解博弈結構之前,任何基於"確定性"的清算機制,都是潛在的套利入口。機制設計需要自省能力,能識別並堵住被"數學美感"掩蓋的系統性風險。

願我們始終保持敬畏市場之心。數學是單純的,人是復雜的。只有歷史博弈是重復的。知其然,且知其所以然。